* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

A앱/콘텐츠 플랫폼 운영사 ISMS 인증(최초) 상주 컨설팅 사례

[ 고객사 ]

A앱/콘텐츠 플랫폼(게임과 앱, 모바일커머스, 이북 및 영상 콘텐츠 마켓운영)

[ 프로젝트 배경 및 주제 ]

고객사는 2016년 모회사로부터 분사하면서 ISMS인증을 유지해야 하는 정보통신망법에 따른 ISMS인증 의무대상기업이다.
ISMS 인증을 획득한 모회사와는 별도로 인증을 획득해야 했기 때문에 회사 규모에 맞는 관리체계 구축부터 운영에 이르는 컨설팅을 의뢰하였다.

[ 프로젝트 기간 ]

2016년 1년간 최초심사 컨설팅, ISMS 인증획득
2017년 8개월간 사후심사(1차) 컨설팅
2018년 6개월간 사후심사(2차) 컨설팅

[ IT 및 정보보안 환경 ]

  • 비즈니스 및 IT 환경

국내 통신3사에서 각각 운영하던 앱마켓을 고객사에서 통합, 국내 유일의 앱마켓으로서 고객사의 주요 사업영역은 모바일게임, 모바일앱, 모바일커머스, 이북 및 영상콘텐츠 판매이다.
현재 세계시장을 양분하고 있는 애플 앱스토어와 구글 플레이스토어에 맞서 국내외 시장점유율을 높여가고 있다.
고객사의 IT환경은 원활한 비즈니스 지원을 위하여 약 2000대에 달하는 정보시스템을 대부분을 IDC에서 위탁운영하고 있으며 자체 개발인력와 외주인력을 상주시켜 대부분의 정보시스템 및 서비스를 개발하고 있다.

  • 정보보호 환경

모든 서비스를 포함한 대부분의 업무처리 환경을 IT에 의존하고 있는 등 IT의존도가 상당히 높은 고객사는 CISO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직체계를 운영하고 있다. 비즈니스 특성상 전자상거래가 발생하기 때문에 전자금융거래법을 준수해야 하며, 정보통신망법을 기본으로 그 외에 개인정보보호법, 신용정보법 등의 법률 컨플라이언스를 준수해야 하는 특성이 있다. 대부분의 정보시스템은 IDC에 위탁운영하고 있으며 고객사의 전담인력이 사내에서 모니터링할 수 있도록 구축되어 있다. 상담업무를 제외한 개발/운영 외주인력들은 고객사 인근에 위치한 별도의 업무공간에서 각 실무 담당자들의 업무를 지원하고 있기 때문에 정보보호 관련 사항에 대한 조직간의 공유 및 협조체계는 원활히 잘 운영되고 있다.

[ 주요 Activity와 산출물 ]

수행단계별 산출물 목록표는 아래와 같다.

수행 단계 주요 수행 내용 결과 산출물
ISMS인증범위 정의 - IT 및 정보보호 현황분석
- 인증범위 협의 및 확정
- 인증범위 정의서
ISMS 운영현황분석 - 정보보호관리체계 현황분석 및 ISMS인증 규격대비 Gap분석 - 정보보호관리체계 운영명세서
취약점 진단 및 위험평가 - 정보자산 분류 및 분석
- 정보자산의 취약점 진단 수행
- 내/외부 모의해킹 진단
- 위험평가 및 DOA 선정
- 자산관리대장
- 보안취약점 진단보고서(정보자산별)
- 모의해킹 진단결과 보고서
- 위험평가보고서
ISMS인증체계 구축 - 정보보안 정책, 지침 제·개정
- 정보보호 개선계획 수립
- 정보보호 효과성 측정표
- 통제항목별 요건 문서 작성
- 정보보호 효과성 분석
- 정보보안정책 및 지침서
- ISMS운영현황표
- 효과성분석 보고서
ISMS인증 준비 - 인증신청서 작성
- 내부감사 및 모의심사
- 심사대응 방안 제시
- 인증신청서
- 내부감사 및 모의심사 계획서
- 내부감사 및 모의심사 결과서
인증심사 대응지원 - 심사대비 교육실시
- 결함사항 대응지원
- 문서심사, 현장심사 등에 대한 사전·후 지원


* 산출물 예시: ISMS인증심사신청서, GAP분석보고서